CVE-2026-41567
WysokieCVSS 7.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 5 - wyżej niż 5% wszystkich znanych CVE
Streszczenie
W Moby (Docker Engine) przed wersją 29.5.1 oraz w moby/moby v2 przed v2.0.0-beta.14, podczas przesyłania skompresowanego archiwum do kontenera, demon rozwiązuje ścieżki do binariów dekompresyjnych (np. xz, unpigz) z systemu plików kontenera zamiast hosta. Złośliwy obraz kontenera zawierający spreparowane binarie dekompresyjne może umożliwić zdalne wykonanie kodu z pełnymi uprawnieniami demona (UID root hosta i nieograniczone capabilities).
Ocena ryzyka
Organizacja narażona jest na całkowite przejęcie kontroli nad hostem Docker przez atakującego, który może uruchomić dowolny kod z uprawnieniami roota, co prowadzi do naruszenia poufności, integralności i dostępności wszystkich kontenerów oraz danych na hoście.
Rekomendacja
Niezwłocznie zaktualizuj Docker Engine do wersji 29.5.1 lub moby/moby do v2.0.0-beta.14. Do czasu aktualizacji używaj wyłącznie zaufanych obrazów kontenerów, zastosuj wtyczki autoryzacyjne blokujące endpoint PUT /containers/{id}/archive oraz unikaj przesyłania skompresowanych archiwów do kontenerów z nieznanych obrazów.
Oryginalny opis (angielski, źródło NVD)
Moby is an open source container framework. In versions prior to 29.5.1 and in moby/moby v2 prior to v2.0.0-beta.14, when a compressed archive is uploaded to a container via `PUT /containers/{id}/archive` or piped through `docker cp -`, the daemon resolves decompression binaries (such as `xz` or `unpigz`) from the container's filesystem rather than the host's due to incorrect ordering of operations. A malicious container image containing a trojanized decompression binary can achieve arbitrary code execution with full daemon privileges, including host root UID and unrestricted capabilities, when a user uploads a compressed (xz or gzip) archive into that container. This issue is fixed in Docker Engine 29.5.1 and moby/moby v2.0.0-beta.14. Workarounds include only running containers from trusted images, using authorization plugins to restrict access to the `PUT /containers/{id}/archive` endpoint, and avoiding piping compressed archives into containers created from untrusted images

